Jean-Luc Archimbaud. Cours sécurité réseau : par où commencer?.
|
|
- Danièle Lheureux
- il y a 8 ans
- Total affichages :
Transcription
1 Cours sécurité réseau : par où commencer? Jean-Luc Archimbaud To cite this version: Jean-Luc Archimbaud. Cours sécurité réseau : par où commencer?. lieux en France, 1996, pp.41. <cel > École d ingénieur. Divers HAL Id: cel Submitted on 4 Feb 2011 HAL is a multi-disciplinary open access archive for the deposit and dissemination of scientific research documents, whether they are published or not. The documents may come from teaching and research institutions in France or abroad, or from public or private research centers. L archive ouverte pluridisciplinaire HAL, est destinée au dépôt et à la diffusion de documents scientifiques de niveau recherche, publiés ou non, émanant des établissements d enseignement et de recherche français ou étrangers, des laboratoires publics ou privés.
2 Sécurité : par où commencer? Version 1.3 (juillet 1996) A consulter en format paysage Cliquer sur la flèche en haut à gauche pour accéder à la suite Une ancienne version (1) a été présentée à JRES 95 Une version PostScript est disponible : ici Jean Luc Archimbaud CNRS/UREC jla@urec.fr Cours d une journée pour : Décrire les premières mesures à prendre pour protéger un site contre les attaques venant de l Internet. Ces mesures sont classées par ordre de priorité. 1
3 Sécurité, par où commencer? : plan Avertissement et orientations Sites visés,... Organisation Responsable, CERT, chartes,... Filtres dans les routeurs Principes, exemples,... Outils de diagnostique (audit) ISS, Satan, COPS, CRACK Stations de travail tcpd, inetd.conf, Sendmail, X11,... Architecture du réseau Machine services réseau, garde barrière applicatif... Annexes Vérités, vocabulaire, besoins, mécanismes, où agir? Avertissement et orientations Les recommandations peuvent être suivies page à page Elles sont fléchées " " Elles sont partiales (reflettent l avis de l auteur) Elles se rapprochent d un schèma directeur technique Site visé : Environnement : Internet IP UNIX Ouvert > moins ouvert Peu de moyens > faire les bons choix Laboratoire de recherche ou université ou campus Ce document n est pas : Un cours de sensibilisation Une revue d incidents Une présentation de la sécurité sur l Internet Un guide d administration Unix ou de réseau 2
4 Organisation Mener une réflexion globale > Politique globale Responsable sécurité nommé par le Directeur du laboratoire Etre en contact avec un CERT Via le correspondant CNRS ou des Universités Pour les grands sites, mettre en place une organisation interne : correspondants, groupes de travail Vérifier le respect de la loi Logiciels utilisés, déclarations CNIL Mener une réflexion globale > Politique globale Le risque (pour un ingénieur) en ne menant pas une réflexion globale est de miser sur des produits très intéressants conceptuellement et techniquement mais qui ne protégent pas contre les principales menaces. Exemple : le chiffrement ne protége pas des attaques de crackers, le mot de passe en clair sur le réseau n est pas le seul risque lié aux mots de passe,... Une bonne politique globale doit inclure la sensibilisation des utilisateurs, la protection physique du matériel, la bonne administration des ordinateurs, les sauvegardes régulières, les contrôles d accès dans le réseau,... 3
5 Organisation : charte de bon usage Statistiques CLUSIF : 3/4 des sinistres sont dus à la criminalité interne Responsabilité / Internet Pour sensibiliser et responsabiliser Signée par tous les utilisateurs des systèmes d information Peut être intégrée dans un dossier de bienvenu Exemples Rédiger une charte, la faire signer et respecter Organisation : charte de bon usage : contenu Respect des recommandations des administrateurs Bon usage des outils : ni rendre vulnérable, ni attaquer Usage uniquement professionnel Compte personnel non cessible Pas de consultation des informations des autres utilisateurs Respect des lois sur les logiciels (pas de copie illégale) Respect des lois sur sur la presse (droit d auteurs, publications à caractère injurieux, pornographique, diffamatoire, d incitation au racisme...) Pas de page personnelle WWW sans autorisation du Directeur Sanctions applicables sur le site et rappel des lois 4
6 Organisation Lancer une première sensibilisation Direction : responsabiliser Utilisateurs : rappels réguliers, informations, exemples Administrateurs : recommandations, diffusion avis des CERTs,... Campagne pour des mots de passe solides, personnels et non écrits (articles de jla en ASCII, en Postscript, de jplg en ASCII ) Campagne pour la protection des serveurs X (article de cg ici) Pour les stations définir de bonnes procédures pour : L ouverture et la fermeture des comptes Les sauvegardes (chaque station doit avoir un administrateur) Choisir de bons anti virus pour les micros Organisation : carnet d adresses Serveur UREC et serveur CRU BCRCI (1) (Bureau Central de la Répression de la Criminalité Informatique) DST (1) (Direction de la Sureté Nationale) 3615 CNIL (Comission Nationale Informatique et Liberté) SCSSI (1) (Service Central Sécurité des Sys d Info) LITIEL (association pour acheter des logiciels shareware) 5
7 Filtres : plan Principes des applications IP Numéros de ports (serveurs, clients, FTP, NTP,... ) Champs d une trame Ethernet Deux politiques de filtrage Principes des filtres CISCO Exemple politique 1 Exemple politique 2 Bilan des filtres Filtres : principes des applications IP Mode Client Serveur La partie cliente envoie des requêtes à la partie serveur en attente Derrière le client se trouve généralement un utilisateur (sauf X11) Le serveur est un process en attente (daemon sous Unix) Serveurs Unix : inetd + sendmail + nfsd +... TCP : mode connecté (ouverture et fermeture de session) UDP : mode non connecté (pas de session) Datagramme TCP ou UDP : numéros port source et port destination Ports clients : 1024, 1025, 1026,... pour les applications FTP, telnet, SMTP, NNTP, DNS, syslog, http, gopher, wais, archie Ports clients : 1023, 1022, pour les applications rexec, rlogin, rsh, rcp, rdist, lpr 6
8 Filtres : ports serveurs : wellknown ports RFC "ASSIGN NUMBERS" (RFC1700 ou plus récent) et /etc/services ftp data 20 (TCP) telnet 23 (TCP) whois 43 (TCP) bootp 67 (UDP) gopher 70 (TCP) http 80 (TCP) poppass (Eudora) 106 (TCP) rpc portmap 111 (UDP et TCP) ntp (Time) 123 (UDP) snmp trap 162 (UDP) rexec 512 (TCP) rsh (rcp, rdist) 514 (TCP) syslog 514 (UDP) uucp 540 (TCP) openwin xx (TCP) nfs 2049 (UDP ou TCP) ftp commandes 21 (TCP) smtp 25 (TCP) DNS 53 (UDP et TCP) tftp 69 (UDP) finger 79 (TCP) pop2 109 (TCP) pop3 (Eudora) 110 (TCP) nntp (News) 119 (TCP) snmp 161 (UDP) z3950 (wais) 210 (TCP) rlogin 513 (TCP) printer (lpr) 515 (TCP) rip 520 (UDP) archie 1525 (UDP) harvest 2138 (TCP) X (TCP) Filtres : Ack bit (established) Dans le datagramme TCP un "Ack bit" indique que le datagramme est aussi un accusé de réception d un datagramme précédent Dans le premier datagramme d ouverture de session TCP, ce bit n est pas positionné En bloquant le premier datagramme toute session TCP est impossible Donc, en filtrant les datagrammes TCP entrants sans "Ack bit", on bloque les connexions TCP entrantes (tout en autorisant les connexions sortantes) N existe pas dans UDP Langage routeur : "Ack bit" = "established" 7
9 Filtres : ports FTP et NTP FTP : TCP Ports serveur : commandes 21 données 20 Port client > 1023 Le canal données est ouvert par le serveur Port serveur 20 et port client > 1023 Attention au TCP "Ack bit" (cf avant) Avec la commande FTP "PASV", ce particularisme disparaît NTP (Time) : UDP Serveur 123 < > Client > 1023 Serveur 123 < > Serveur 123 Filtres : ports DNS Interrogations et transferts de zone (primaire > secondaires) Interrogations : UDP généralement, TCP pour IBM AIX et quand beaucoup de données à transmettre Client > 1023 > Serveur 53 Serveur 53 > Serveur 53 Transferts de zone : TCP : Primaire 53 < Secondaires > 1023 Les secondaires font aussi des interrogations (pour connaître le numéro de version des fichiers zones) 8
10 Filtres : ports RPC NIS, NFS,... UDP courant mais aussi TCP Serveur portmap port 111 Serveur RPC : choisit un port TCP/UDP quelconque et s enregistre auprès du server portmap Client : interroge serveur portmap > serveur RPC NFS serveur : port 2049 Si utilisation interne des RPC, recommandation : filtrer portmap (UDP et TCP 111) filtrer UDP inconnu (pas DNS, syslog, Archie) car les RPC fonctionnent principalement au dessus de UDP Filtres : ports SNMP, X11, OpenWindows SNMP : UDP Agent attend sur le port 161 Station reçoit des alarmes (traps) sur le port 162 Client port > 1023 X11 et OpenWindows : TCP Serveur X11 : port 6000 pour 1er display, 6001 pour 2nd,... Serveur OpenWindows : ports 2000, 2001,... Remarque : les systèmes peuvent attribuer les ports 2000 ou 6000 aux clients d autres applications (car port client > 1023) Recommandation compromis : Filtrer TCP et (dans certains cas rares les utilisateurs auront à recommencer leurs essais de connexion) 9
11 Filtres : champs d une trame Ethernet Un routeur (connecté sur Ethernet) reçoit des trames qui contiennent : En tête Ethernet Adresses Ethernet d origine et de destination Champ "type" : 0800 IP, 0806 ARP,... En tête IP Protocole : 1 ICMP, 6 TCP, 17 UDP Adresses IP d origine et de destination En tête TCP ou UDP Numéro de port source et numéro de port destination Un routeur peut donc filtrer sur ces informations (mais il lui est impossible de retrouver des données : nom des utilisateurs...) Filtres : 2 politiques 2 politiques 1. On filtre ce que l on ne veut pas, on laisse passer le reste (tout ce qui n est pas interdit est autorisé) 2. On laisse passer certains trafics, on interdit tout le reste (tout ce qui n est pas permis est interdit) 1 : Facile à mettre en place après une ouverture totale Connaissance de toutes les applications et de tous les trous Vulnérable aux "nouveaux" trous 2 : Ouverture progressive aux applications que l on maîtrise Très délicat après une ouverture compléte : installation en une seule fois de tous les filtres (après étude des applis utilisées et tests) > Mécontentements d utilisateurs (erreurs, limitations) 2 bien plus efficace que 1 comme protection 10
12 Filtres : CISCO : access list ACL ACL par interface (commande access group) Dans le sens sortant (défaut) ou entrant (mot clé "in") Numéros : 1 à 99 simple (uniquement sur source) Numéros : 100 à 199 ou plus "extented" Filtre : autorise ("permit") ou interdit ("deny") Exécutés en séquence. S arrête quand une des conditions (permit ou deny) est remplie. En fin de ACL : le reste est interdit Filtre sur le protocole (ip, udp, tcp, icmp) Filtre sur le numéro de port destinataire (EQ GT LT NEQ) Filtre sur les adresses avec la notation source destination destination > X.X > > X.X.X.X Filtres politique 1: exemple recommandé Exemples de filtres sur rennes1.fr Exemple politique 1 : Réseau interne / 24 (classe C) On place des filtres sur le routeur d entrée du site Rs Tout est autorisé sauf : tftp, NFS, SNMP, r commandes, lpr, X11, OpenWindows ne doit pas communiquer avec l extérieur Le réseau est interdit d entrée Restreint SMTP serveur à Restreint HTTP serveur à Schéma : ici Filtre CISCO (Access List) : ici 11
13 Filtres politique 1: schéma Filtres politique 1 : exemple recommandé! Exemple de politique 1 : on filtre ce que l on ne veut pas! on laisse passer le reste!! Reseau interne / 24 (classe C)! Tout est autorise sauf :! tftp, NFS, SNMP, r commandes, lpr, X11, OpenWindows! ne doit pas communiquer avec l exterieur! Le reseau est interdit d entree! Restreint SMTP serveur a ! Restreint HTTP serveur a !! ATTENTION CECI PEUT CONTENIR DES ERREURS! NE PAS APPLIQUER SANS COMPRENDRE CHAQUE LIGNE!! Description de l interface du routeur d entree cote Internet interface Ethernet0 ip address ip access group 101 in!! Interdit le source routing no ip source route! Vide l access list no access list 101!! N accepte pas les datagrammes entrant avec le numero IP source! etant un numero local ou 127.x.x.x (IP spoofing mascarade) access list 101 deny ip
14 access list 101 deny ip ! N accepte pas tout ce qui vient de access list 101 deny ip ! Interdit toute connexion IP avec la machine a isoler access list 101 deny ip ! Restreint SMTP (TCP 25) a access list 101 permit tcp eq 25 access list 101 deny tcp eq 25! Restreint HTTP (TCP 80) a access list 101 permit tcp eq 80 access list 101 deny tcp eq 80! Interdit tftp (UDP 69) access list 101 deny udp eq 69! Interdit portmap (UDP ou TCP 111) access list 101 deny udp eq 111 access list 101 deny tcp eq 111! Interdit NFS (UDP 2049) access list 101 deny udp eq 2049! interdit acces agents SNMP (UDP 161) access list 101 deny udp eq 161! Interdit les "r command" et lpr access list 101 deny tcp eq 512 access list 101 deny tcp eq 513 access list 101 deny tcp eq 514 access list 101 deny tcp eq 515! Interdit X11 access list 101 deny tcp eq 6000 access list 101 deny tcp eq 6001 access list 101 deny tcp eq 6002 access list 101 deny tcp eq 6003! Interdit Openwin access list 101 deny udp eq 2000 access list 101 deny udp eq 2001 access list 101 deny udp eq 2002 access list 101 deny udp eq 2003!! Autorise tout le reste access list 101 permit ip
15 Filtres politique 1 : AUSCERT Le CERT australien AUSCERT recommande de filtrer : (cf son avis) systat 11 (TCP) netstat 15 (TCP) bootp 67 (UDP) tftp 69 (UDP) link 87 (TCP) supdup 95 (TCP) sunrpc 111 (TCP/UDP) NeWs 144 (TCP) snmp 161 (UDP) xdmcp 177 (UDP) exec 512 (TCP) login 513 (TCP) shell 514 (TCP) printer 515 (TCP) biff 512 (UDP) who 513 (UDP) syslog 514 (UDP) uucp 540 (TCP route 520 (UDP) openwin 2000 (TCP) NFS 2049 (UDP/TCP) X (TCP) Filtres politique 2 : exemple recommandé Réseau interne /24 (classe C) On place des filtres sur le routeur d entrée du site Rs Tout est interdit sauf : est serveur DNS, SMTP, WWW, NTP, FTP, telnet ne doit pas communiquer avec l extérieur est serveur telnet et ftp uniquement. Les autres stations peuvent être clientes uniquement Schéma : ici Filtre : ici 14
16 Filtres politique 2 : schéma Filtres politique 2 : exemple recommandé! Exemple de politique 2 : on laisse passer certains trafics! on interdit tout le reste!! Reseau interne /24 (classe C)! On place des filtres sur le routeur d entree du site Rs! Tout est interdit sauf :! est serveur DNS, SMTP, WWW, NTP, FTP, telnet! est serveur telnet et ftp uniquement! ne doit pas communiquer avec l exterieur!. Les autres stations peuvent etre clientes uniquement!! ATTENTION CECI PEUT CONTENIR DES ERREURS! NE PAS APPLIQUER SANS COMPRENDRE CHAQUE LIGNE!! Description de l interface du routeur d entree cote Internet interface Ethernet0 ip address ip access group 101 in!! Interdit le source routing no ip source route! Vide l access list no access list 101!! N accepte pas les datagrammes entrant avec l adresse IP source! avec un numero local ou 127.x.x.x (IP spoofing mascarade) 15
17 access list 101 deny ip access list 101 deny ip ! Interdit toute connexion IP avec la machine a isoler access list 101 deny ip ! Autorise les communications avec la machine serveur :! DNS (UDP/TCP 53) access list 101 permit udp eq 53 access list 101 permit tcp eq 53! SMTP (TCP 25) access list 101 permit tcp eq 25! WWW (TCP 80) access list 101 permit tcp eq 80! NTP (UDP 123) access list 101 permit udp eq 123! Telnet (TCP 23) access list 101 permit tcp eq 23! FTP commande (TCP 21) access list 101 permit tcp eq 21! FTP donnees (TCP 20) access list 101 permit tcp eq 20! Autorise les commucations telnet et ftp vers la station access list 101 permit tcp eq 23 access list 101 permit tcp eq 21 access list 101 permit tcp eq 20!! Autorise toutes les machines a acceder a l Internet en mode client! TCP > 1023 pour telnet,... et legerement < 1023 pour les r commandes : > 960! Il faut UDP > 1023 mais interdit (OpenWin), 2049 (NFS), (X11) access list 101 permit tcp gt 960 access list 101 deny udp eq 2000 access list 101 deny udp eq 2001 access list 101 deny udp eq 2002 access list 101 deny udp eq 2003 access list 101 deny udp eq 2049 access list 101 deny udp eq 6000 access list 101 deny udp eq 6001 access list 101 deny udp eq 6002 access list 101 deny udp eq 6003 access list 101 permit udp gt 1023!! TOUT LE RESTE EST INTERDIT 16
18 Filtres dans les routeurs Une forme de garde barrière Mesure simple à mettre en place, économique mais qui techniquement demande une bonne connaisance des protocoles et de ses trafics Moins on laisse passer > moins de trous possibles Installer éventuellement des filtres sur le backbone interne et des bâtiments Problèmes : Incidence sur les performances : 2 Mbit/s à peu près nulle Effets de bord possibles à chaque modification Listes deviennent illisibles Pas d authentification des utilisateurs, pas de traces Risques : client port 25 et serveur port 1025, rebonds,... Filtres : autres fonctionnalités Production automatique de filtres Produits type Firewall 1 Différentes fonctionnalités selon routeurs : Filtres dans le sens entrant et sortant Filtres sur le port source Facilité de configuration Architecture interne prévue pour le filtrage Alarmes et redirections quand déclanchement de filtres Messages ICMP envoyés à l émetteur Installer des filtres très similaires aux précédents exemples sur vos routeurs 17
19 Outils de diagnostique (audit) : plan Les outils suivants sont disponibles ici Utiliser ces 4 outils : ISS SATAN COPS CRACK Outils d audit : ISS Internet Security Scanner Audit de sécurité d un réseau de machines : à distance, essai des trous de sécurité connus des applications réseau ISS teste : Les comptes sync, guest, lp,... ( mot de passe?) Le port 25 (quelle version de Sendmail?) Certains alias dangereux (uudecode,...) FTP anonymous (peut on créer un répertoire?) rexd (nombreux trous) NIS (cherche le nom de domaine) ; NFS (répertoires exportés?) Les utilisateurs connectés Outil très dangereux dans certaines mains Fichier résultat : exemple 18
20 Outil d audit : exemple ISS Commande " iss " Extrait du fichier resultat : Scanning from to chose.truc.edu SMTPchose.truc.edu Sendmail AIX 3.2/UCB 5.64/5.17 ready at Tue, 5 Oct <guest> 550 decode... User unknown: A system call received a parameter that is not valid 550 bbs... User unknown: A system call received a parameter that is not valid. 550 lp... User unknown: A system call received a parameter that is not valid. 550 uudecode User unknown:a system call received a parameter that is not valid. FTP:220 chose FTP server (Version 4.1 Sat Nov 23 12:52:09 CST 1991) ready. 530 User anonymous unknown. export list for : /usr/local/tex (everyone) /usr/lib/x11/ncd (everyone) /usr/local/x11r5 (everyone) /tempo meltemi,busar /local_home (everyone) /home (everyone) toto chose.truc:pts/1 Oct 5 07:13 2 titi chose.truc:pts/2 Oct 4 15: :21 tata chose.truc:pts/2 Oct 4 15: : machine.truc.edu Outils d audit : SATAN Mêmes objectifs et mêmes méthodes que ISS Interface client WWW Beaucoup de bruit mediatique : pas de catastrophe Aurait plus être beaucoup plus dangereux Cf articles, logiciel,... : ici Passer régulièrement SATAN et ISS sur son réseau 19
21 Outil d audit : COPS Computer Oracle and Password System Audit de sécurité d une machine Unix Ensemble de programmes qui vérifient ou détectent : Les permissions de certains fichiers, répertoires, devices Les mots de passe "pauvres" Le contenu des fichiers passwd et group Les programmes lancés dans /etc/rc et par cron Les fichiers SUID root L accès à certains fichiers utilisateurs (homedir,.profile,.cshrc,...) L installation correcte de FTP anonyme Certains trous de sécurité ("+" dans hosts.equiv, montages NFS, "." dans PATH de root)... Outil d audit : COPS Peut sceller certains fichiers Création d un fichier résultat ou envoi d un message Peut être éxécuté sans être root Configurable : fichiers à sceller, objets dont l accès est à vérifier, dictionnaires On peut : ajouter ses propres vérifications, le mettre dans le CRON Problèmes : messages succincts, pas de MAJ récente Faire passer COPS sur toute nouvelle machine installée et régulièrement sur les autres Fichier résultat : exemple 20
22 Outil d audit : COPS : extrait d un fichier résultat Security Report for Thu Mar 10 17:13:18 WET 1995 from host xxxx **** root.chk **** Warning! "." (or current directory) is in roots path! **** is_able.chk **** Warning! /usr/spool/mail is _World_ writable! Warning! /etc/aliases.dir is _World_ writable! Warning! /etc/aliases.pag is _World_ writable! Warning! /etc/motd is _World_ writable! **** rc.chk **** **** cron.chk **** **** home.chk **** Warning! User uucp s home directory /var/spool/uucppublic is mode 03777! **** passwd.chk **** Warning! Password file, line 10, no password: sync::1:1::/:/bin/sync Warning! Password file, line 11, user sysdiag has uid = 0 and is not root sysdiag:*:0:1:old System **** user.chk **** **** misc.chk **** Warning! /bin/uudecode creates setuid files! **** ftp.chk **** Warning! /etc/ftpusers should exist! Outil d audit : crack Enorme erreur d Unix : /etc/passwd lisible par tous Même algorithme de chiffrement sur toutes les machines Dans /etc/passwd : chiffrement non inversible Par combinaison (sans dictionnaire), la puissance actuelle des machines permet de découvrir des mots de passe jusqu à 5 caractères Crack à partir de mots de dictionnaires : Ajoute des mots venant d informations dans /etc/passwd (nom,...) Crée de nouveaux mots (cle+, Cle, elc,...) Chiffre chaque mot et compare le résultat avec la chaîne dans /etc/passwd Mémorise les mots de passe testés (pour les exécutions ultérieures) 21
23 Outil d audit : crack Configurable : Nouvelles règles pour générer les nouveaux mots Ajout de dictionnaires Peut travailler sur plusieurs fichiers passwd Peut envoyer un message aux utilisateurs La première exécution est très longue Crack a beaucoup de succès sur les serveurs FTP anonymes Ajouter des dictionnaires francais,... Cf les dictionnaires Utiliser shadow password Passer régulièrement crack sur les machines le week end et envoyer un message aux utilisateurs fautifs Fichier résultat : exemple Outil d audit : crack : extrait de résultat Feb 21 13:32:47 Crack v4.1f: The Password Cracker, (c) Alec D.E. Muffett, 1992 Feb 21 13:32:48 Loaded 17 password entries with 17 different salts: 100% Feb 21 13:32:48 Loaded 240 rules from Scripts/dicts.rules. Feb 21 13:32:48 Starting pass 1 password information Feb 21 13:33:38 Guessed dupont (/bin/ksh in./passwd) [dupont9] f5em4jkrapyaq Feb 21 13:34:36 Starting pass 2 dictionary words Feb 21 13:34:36 Applying rule!?al to file Dicts/bigdict.Z Feb 21 21:18:39 Applying rule 28!?Al$9 to file Dicts/bigdict.Z Feb 21 21:24:37 Guessed durant (/bin/ksh in./passwd) [tomate.] DQywOoXMwQFiI 22
24 Stations de travail : plan Unix est vulnérable à cause de son succès et de l attitude des vendeurs Chaque station doit avoir un administrateur Définir de bonnes procédures pour : L ouverture et la fermeture des comptes Les sauvegardes Installer tcp wrapper ou xinetd ou NETACL Ménage dans inetd.conf Ménage des autres daemons Sendmail X11 Vérifications système Micros Stations : tcp_wrapper (tcpd) Disponible : ici Fonction d audit et de contrôle d accès sur les serveurs S intercale entre inetd et l appel du serveur. Exemple dans inetd.conf : tftp dgram udp wait root /usr/etc/tcpd in.tftpd s /tftpboot Transparent : utilisateur, temps de réponse,... Trace > syslog (mail) Filtres : sites services (écriture de script possible). Exemple /etc/hosts.allow : "ALL:.urec.fr" et /etc/hosts.deny : "ALL:ALL" Limitations : uniquement inetd, pas efficace à 100 % pour les services UDP A installer sur toutes les stations avec la journalisation dans un fichier log non standard 23
25 Stations : ménage dans inetd.conf Une station peut être cliente sans être serveur Moins de serveurs > moins de trous potentiels pour ne pas lancer un daemon dans inetd.conf : # en début de ligne Enlever tftpd si inutile ou vérifier qu il est lancé avec un argument qui limite l accès à un répertoire ( s) Enlever rexd (trop de trous) Oter les r commandes si elles ne sont pas utilisées Oter fingerd s il n est pas utile Faire ces opérations à chaque installation de machine Stations : ménage d autres daemons Faire ces opérations à chaque installation de machine Oter /etc/hosts.equiv (sauf... et attention "+") Supprimer rwhod dans un rc* Vérifier que "su" est obligatoire pour passer "root" (/etc/ttytab) Supprimer tout ce qui a un rapport avec UUCP Supprimer routed (sauf si vous utilisez RIP) dans un rc* Installer le routage minimum NFS serveur Si pas utilisé, oter nfsd dans rc.local, rpc.mountd dans inetd.conf Si en service, vérifier régulièrement /etc/exports 24
26 Stations : Sendmail Sendmail : lignes de code SUID root Source public Nombreux outils d attaque publics pour utiliser les trous de sécurité connus Utiliser une version sans trou de sécurité (connu) : ou + Disponible : ici Limiter sendmail à une ou deux stations identifiées et bien gérées Stations Terminaux : X11 Si aucune protection tout le monde peut lire ce qu un utilisateur tape sur le clavier de son serveur X ou ce qui est écrit sur son écran xhost nom de machine : contrôle d accès par machine Pas de "xhost +".Xauthority : contrôle d accès par utilisateur Article détaillé : ici Sensibiliser vos utilisateurs et vérifier qu ils utilisent au moins xhost comme contrôle d accès 25
27 Stations : vérifications système Faire ces vérifications à chaque installation de machine /etc/passwd : enlever les comptes guests..., mettre des mots de passe Accès fichier aliases Enlever les alias uudecode et decode dans aliases PATH (pas de ".") et fichiers.* de root Ce qui touche au cron Choisir un bon umask pour les utilisateurs Ajouter quelques vérifications dans.login ou.profile de l administrateur who, last du log de tcp_wrapper,... Articles : ici Stations : micros Pas le sujet du cours Installer de bons anti virus dans une version récente (abonnement à une mise à jour) surtout pour DOS Windows PC (McAfee,...) : ici Mac (Disinfectant) : ici FAQ sur Virus : ici 26
28 Architecture : plan Une machine dédiée aux services réseau Plusieurs réseaux internes Garde barrière applicatif Authentification des utilisateurs Architecture : 1 machine services réseau Services réseau > machine dédiée DNS, Sendmail, serveur FTP, HTTP, NTP, NNTP, POP Pas d utilisateur enregistré sur cette machine Sauf les administrateurs Machine très visible et avec beaucoup de trous potentiels : Risques supérieurs Pas d utilisateur : Mais dégâts minimes Facile de contrôler les accès interactifs Interdire les r commandes et (avec tcp_wrapper) filtrer par machine appelante les accès telnet et FTP,... 27
29 Architecture : 1 machine services réseau Ajouter une fonction proxy serveur ( sur cette machine (Harvest ou...) Mettre cette machine sur un réseau frontière : 2 solutions Ajuster les filtres dans les routeurs R S1 (et R S2) en conséquence Ils doivent devenir plus précis et plus restrictifs : SMTP, DNS,... uniquement avec la machine de service Il devrait y avoir beaucoup moins de trafic entre le réseau local et l Internet Des stations clientes ne devraient plus avoir besoin d une route par defaut : restreindre le routage Ensuite commencent les mesures plus coûteuses... Architecture : schéma avec une machine services réseau 28
30 Architecture : schéma de plusieurs réseaux internes Architecture : garde barrière applicatif Passerelle applicative Double login : authentification des utilisateurs Applications en mode connecté. Relayées : telnet, rlogin, FTP, rcp, SMTP, HTTP, X11 TIS très connu Documentation et logiciels : au CRU ou à l UREC Avantages : Centralisation de la sécurité (blindage, traces,...) Très bonne protection : jusqu à l authentification des utilisateurs Désavantages : lourd, coûteux, portes dérobées très dangereuses Schéma 29
31 Architecture : schéma avec un garde barrière applicatif Architecture : authentification forte Ajouter une authentification forte dans le garde barrière applicatif : Calculette ou S/Key 30
32 Annexes : plan Vérités à prendre en compte Vocabulaire, besoins, mécanimes en sécurité réseau Où agir? > schéma récapitulatif Annexes : vérités à prendre en compte On ne peut pas ignorer la sécurité Si un ordinateur est utile il faut le protéger Laisse t on sa voiture ouverte avec la clé de contact à l intérieur? Il ne faut pas oublier l image du laboratoire C est toujours un compromis Technique : il n y a pas de zéro défaut Financier : un campus n est pas une centrale nucléaire La Direction doit jouer le rôle clef Ne rapporte rien mais coûte Demande du bon sens, des compétences en réseaux et du temps Un réseau ouvert peut convenir à une application sécurisée Les crackers sont rarement des experts : ils appliquent des recettes Ce n est pas un but en soi Recherche et Enseignement : réseau vital 31
33 Annexes : vocabulaire sécurité réseaux Confidentialité < chiffrement Message envoyé doit être compris uniquement par le destinataire Besoin partiel sur certaines informations : mots de passe, courrier Intégrité < scellement signature Le message reçu doit être identique au message envoyé Les erreurs de transmission sont exclues du domaine de la sécurité Ex de mécanisme : en fin de message, l expéditeur ajoute un "CRC" : suite de bits fonction du message et d une clé secréte Contrôle d accès < listes d accès Seuls les émetteurs autorisés doivent pouvoir envoyer des messages à l objet (réseau, machine, application,...) ACL (Access Control List) : tableau 2 dimensions (Acteurs Objets) : un élément du tableau indique le type d accès autorisé Annexes : vocabulaire sécurité réseaux Disponibilité < contrôle d accès Matériels et logiciels doivent correctement fonctionner > ils doivent être protégés contre des attaques malveillantes La disponibilité au sens classique d un réseau n entre pas dans le champs de la sécurité Traces < journalisation (log) Avoir des informations sur un problème en cours Comprendre un incident passé pour évider la réédition Problèmes : volume, dépouillement Alarmes quand événements anormaux < administrateur vigilant Problème : qu est ce qui est anormal? Ex : essais d accès interdits, charge du réseau, modification d un exécutable, présence anormale d un utilisateur sur un système 32
34 Annexes : vocabulaire sécurité réseaux Audit < outils d audit Quel est le niveau de sécurité? > mesures à prendre Garde barrière Antéserveur, écluse, gate keeper, par feu, coupe feu, fire wall,... Poste frontière entre l intérieur sans danger et l extérieur dangereux Point de passage à rendu obligatoire Fonctions : contrôle d accès, authentification, journalisation,... Avantages : permet de ne pas sécuriser toutes les machines internes, administration centralisée de la sécurité Deux types : filtres dans un routeur et garde barrière applicatif Principaux problèmes : demande du temps, difficile (techniquement et psychologiquement) à mettre en place après l ouverture Documentation : ici Annexes : vocabulaire authentification Certificat d identité : équivalent de la présentation de sa carte d identité ou de son passeport Dans les 2 sens : appelant < > appelé Si un utilisateur (appelant) doit s authentifier, la machine (ou l application ou...) appelée doit aussi prouver son identité (il faut payer le magasin où on a effectué ses achats) Problèmes sur Internet : unicité de l identité, choix de l autorité qui délivrera les certificats d identité Mécanismes d authentification d un utilisateur :. Mot de passe (pb confidentialité dans le transport). Fonction : S/Key. Objet : authentifieur (calculette) ; carte à puce 33
35 Annexes : vocabulaire chiffrement Transforme des données en clair en des données non intelligibles pour ceux qui n ont pas à les connaître Fonction mathématique avec un paramètre : clé Inverse : déchiffrage ou déchiffrement Services assurés : confidentialité, intégrité, authentification Algorithmes symétriques (à clé secréte) comme DES Même clé pour le chiffrement et le déchiffrement Algorithmes asymétriques (à clé publique) comme RSA La clé de chiffrement (publique) est différente de la clé de déchiffrement (secréte) Problèmes : gestion des clés, législation, coût, à quelle couche OSI? Documentation : ici Où agir? > 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15 34
36 Annexes : où peut on agir? > 1 Arriver à une architecture qui prend en compte la sécurité : En construisant plusieurs réseaux physiques (différents câbles) et logiques (différents numéros IP) En installant des routeurs avec des filtres, un serveur dédié réseau et éventuellement un garde barrière applicatif Cf le chapitre architecture de ce cours Annexes : où peut on agir? > 2 Rendre inaccessibles depuis l Internet (routage IP) certains réseaux internes : Annoncer sur l Internet (à Renater) uniquement les réseaux qui doivent communiquer avec l extérieur Et pas systématiquement l ensemble des réseaux internes 35
37 Annexes : où peut on agir? > 3 Installer des filtres sur le routeur d entrée de site Cf le chapitre filtres de ce cours Annexes : où peut on agir? > 4 Installer un garde barrière applicatif à l entrée du site Cf le chapitre garde barrière applicatif de ce cours 36
38 Annexes : où peut on agir? > Interdire certains trafics venant des différents réseaux (gestion,...), entre eux et avec l Internet En ne mettant pas systèmatiquement une route par défaut En installant des filtres dans les routeurs Cf le chapitre filtres et le chapitre plusieurs réseaux de ce cours Annexes : où peut on agir? > 8 Installer une machine dédiée pour les services réseaux avec un bon Sendmail, DNS, FTPd, httpd, proxy WWW,... Cf le chapitre 1 machine services réseau de ce cours 37
39 Annexes : où peut on agir? > 9 Si la machine est vraiment sensible, éventuellement : La déconnecter du réseau physiquement ou Logiquement en ne configurant pas le coupleur (pas de commande "ifconfig") Annexes : où peut on agir? > 10 Limiter le routage sur la station : Pas de commande "route add default" lorsque ce n est pas nécessaire 38
40 Annexes : où peut on agir? > 11 Installer un logiciel de trace et de filtrage tel que tcp_wrapper sur toutes les stations du réseau Cf le chapitre tcp_wrapper de ce cours Annexes : où peut on agir? > 12 Faire du ménage dans inetd.conf et dans le lancement des daemons réseau sur toutes les stations Cf les chapitres inetd et daemons de ce cours 39
41 Annexes : où peut on agir? > 13 Utiliser des applications sécurisées telles que PGP (Pretty Good Privacy) pour le courrier électronique Annexes : où peut on agir? > 14 Surveiller et contrôler la bonne configuration et la bonne utilisation des stations avec des outils tels que COPS, CRACK, ISS... Cf le chapitre outils d audit de ce cours 40
42 Annexes : où peut on agir? > 15 Sensibiliser, éduquer et contrôler les utilisateurs Cf les chapitres charte et organisation de ce cours 41
SECURITE. Figure 1. Incident réseau, source CERT. Nombre. Sécurité
SECURITE Ce cours est très inspiré des textes diffusés par l unité réseau du CNRS (www.urec.fr). La sécurité est une chose essentielle sur le réseau Internet. Elle est associée très étroitement aux lois
Plus en détailJean-Luc Archimbaud. Sensibilisation à la sécurité informatique.
Sensibilisation à la sécurité informatique Jean-Luc Archimbaud To cite this version: Jean-Luc Archimbaud. Sensibilisation à la sécurité informatique. lieux en France, 1997, pp.17. École
Plus en détailIntroduction. Adresses
Architecture TCP/IP Introduction ITC7-2: Cours IP ESIREM Infotronique Olivier Togni, LE2I (038039)3887 olivier.togni@u-bourgogne.fr 27 février 2008 L Internet est basé sur l architecture TCP/IP du nom
Plus en détailCouche application. La couche application est la plus élevée du modèle de référence.
Couche application La couche application est la plus élevée du modèle de référence. Elle est la source et la destination finale de toutes les données à transporter. Couche application La couche application
Plus en détail2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free.
2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d un système communicant Page:1/11 http://robert.cireddu.free.fr/sin LES DÉFENSES Objectifs du COURS : Ce cours traitera essentiellement
Plus en détailDevoir Surveillé de Sécurité des Réseaux
Année scolaire 2009-2010 IG2I L5GRM Devoir Surveillé de Sécurité des Réseaux Enseignant : Armand Toguyéni Durée : 2h Documents : Polycopiés de cours autorisés Note : Ce sujet comporte deux parties. La
Plus en détailLINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation
Objectif : Tout administrateur système et réseau souhaitant avoir une vision d'ensemble des problèmes de sécurité informatique et des solutions existantes dans l'environnement Linux. Prérequis : Connaissance
Plus en détailLa voix en images : comment l évaluation objectivée par logiciel permet d optimiser la prise en charge vocale
La voix en images : comment l évaluation objectivée par logiciel permet d optimiser la prise en charge vocale Stéphanie Perriere To cite this version: Stéphanie Perriere. La voix en images : comment l
Plus en détailFirewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1
Sécurité Firewall IDS Architecture sécurisée d un réseau Assurer le contrôle des connexions au réseau nicolas.hernandez@univ-nantes.fr Sécurité 1 Sommaire général Mise en oeuvre d une politique de sécurité
Plus en détailLinux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch
Bernard Boutherin Benoit Delaunay Cahiers de l Admin Linux Sécuriser un réseau 3 e édition Collection dirigée par Nat Makarévitch Groupe Eyrolles, 2003, 2004, 2007, ISBN : 2-212-11960-7, ISBN 13 : 978-2-212-11960-2
Plus en détailL3 informatique Réseaux : Configuration d une interface réseau
L3 informatique Réseaux : Configuration d une interface réseau Sovanna Tan Septembre 2009 Révision septembre 2012 1/23 Sovanna Tan Configuration d une interface réseau Plan 1 Introduction aux réseaux 2
Plus en détailSSH, le shell sécurisé
, le shell sécurisé Objectifs : 1. Présenter le protocole et les outils associés Sébastien JEAN Pourquoi 1/2? Les services standards ne supportent que peu de propriétés de sécurité souvent l identification,
Plus en détailCours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC -
Cours de sécurité Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC - 1 Plan pare-feux Introduction Filtrage des paquets et des segments Conclusion Bibliographie 2 Pare-Feux Introduction
Plus en détailRappels réseaux TCP/IP
Rappels réseaux TCP/IP Premier Maître Jean Baptiste FAVRE DCSIM / SDE / SIC / Audit SSI jean-baptiste.favre@marine.defense.gouv.fr CFI Juin 2005: Firewall (1) 15 mai 2005 Diapositive N 1 /27 Au menu Modèle
Plus en détailDHCP et NAT. Cyril Rabat cyril.rabat@univ-reims.fr. Master 2 ASR - Info09115 - Architecture des réseaux d entreprise 2012-2013
DHCP et NAT Cyril Rabat cyril.rabat@univ-reims.fr Master 2 ASR - Info09115 - Architecture des réseaux d entreprise 22-23 Cours n 9 Présentation des protocoles BOOTP et DHCP Présentation du NAT Version
Plus en détailTP : Introduction à TCP/IP sous UNIX
1 Introduction TP : Introduction à TCP/IP sous UNIX Le but de cette séance est de vous familiariser au fonctionnement de la pile TCP/IP sous UNIX. Les systèmes UNIX (Linux, FreeBSD, Solaris, HPUX,...)
Plus en détailSystème de diffusion d information pour encourager les PME-PMI à améliorer leurs performances environnementales
Système de diffusion d information pour encourager les PME-PMI à améliorer leurs performances environnementales Natacha Gondran To cite this version: Natacha Gondran. Système de diffusion d information
Plus en détailServices Réseaux - Couche Application. TODARO Cédric
Services Réseaux - Couche Application TODARO Cédric 1 TABLE DES MATIÈRES Table des matières 1 Protocoles de gestion de réseaux 3 1.1 DHCP (port 67/68)....................................... 3 1.2 DNS (port
Plus en détailRéseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux
Réseaux Evolutions topologiques des réseaux locaux Plan Infrastructures d entreprises Routeurs et Firewall Topologie et DMZ Proxy VPN PPTP IPSEC VPN SSL Du concentrateur à la commutation Hubs et switchs
Plus en détail18 TCP Les protocoles de domaines d applications
18 TCP Les protocoles de domaines d applications Objectifs 18.1 Introduction Connaître les différentes catégories d applications et de protocoles de domaines d applications. Connaître les principaux protocoles
Plus en détailLAB : Schéma. Compagnie C 192.168.10.30 /24 192.168.10.10 /24 NETASQ
LAB : Schéma Avertissement : l exemple de configuration ne constitue pas un cas réel et ne représente pas une architecture la plus sécurisée. Certains choix ne sont pas à prescrire dans un cas réel mais
Plus en détailPacket Tracer : configuration des listes de contrôle d'accès étendues, scénario 1
Packet Tracer : configuration des listes de contrôle d'accès étendues, scénario 1 Topologie Table d'adressage Périphérique Interface Adresse IP Masque de sous-réseau Passerelle par défaut R1 Objectifs
Plus en détailII/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection)
II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection) II.2/ Description des couches 1&2 La couche physique s'occupe de la transmission des bits de façon brute sur un canal de
Plus en détailTunnels et VPN. 22/01/2009 Formation Permanente Paris6 86
Tunnels et VPN 22/01/2009 Formation Permanente Paris6 86 Sécurisation des communications Remplacement ou sécurisation de tous les protocoles ne chiffrant pas l authentification + éventuellement chiffrement
Plus en détailPrésentation du modèle OSI(Open Systems Interconnection)
Présentation du modèle OSI(Open Systems Interconnection) Les couches hautes: Responsables du traitement de l'information relative à la gestion des échanges entre systèmes informatiques. Couches basses:
Plus en détailDIFF AVANCÉE. Samy. samy@via.ecp.fr
DIFF AVANCÉE Samy samy@via.ecp.fr I. RETOUR SUR QUELQUES PROTOCOLES COUCHE FONCTIONS Protocoles 7 Application 6 Présentation 5 Session 4 Transport 3 Réseau 2 Liaison 1 Physique Interface entre l utilisateur
Plus en détailUniversité Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP réseau firewall
Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A TP réseau firewall L objectif de ce TP est de comprendre comment mettre en place un routeur pare-feu (firewall) entre
Plus en détailLINUX REDHAT, SERVICES RÉSEAUX/INTERNET
LINUX REDHAT, SERVICES RÉSEAUX/INTERNET Réf: LIH Durée : 4 jours (7 heures) OBJECTIFS DE LA FORMATION Ce cours pratique vous permettra de maîtriser le fonctionnement des services réseaux sous Linux RedHat.
Plus en détailPlan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014
École Supérieure d Économie Électronique Chap 9: Composants et systèmes de sécurité 1 Rhouma Rhouma 21 Juillet 2014 2 tagging et port trunk Création des via les commandes sur switch cisco 1 / 48 2 / 48
Plus en détailM1101a Cours 4. Réseaux IP, Travail à distance. Département Informatique IUT2, UPMF 2014/2015
M1101a Cours 4 Réseaux IP, Travail à distance Département Informatique IUT2, UPMF 2014/2015 Département Informatique (IUT2, UPMF) M1101a Cours 4 2014/2015 1 / 45 Plan du cours 1 Introduction 2 Environnement
Plus en détailListe des ports. 1 sur 6
Liste des ports 1 sur 6 En cas d oublie ou si on n est pas sur il y a un fichier qui nous indique tout les ports. Ce fichier s ouvre avec un éditeur de texte comme notepad, il se trouve ici : C:\WINDOWS\system32\drivers\etc\
Plus en détailTendances de la sécurité informatique à l IN2P3. Actions pour renforcer la sécurité. Sécurité Cargèse 2001 Bernard Boutherin 1
Tendances de la sécurité informatique à l IN2P3. Actions pour renforcer la sécurité. Sécurité Cargèse 2001 Bernard Boutherin 1 Introduction Objectifs de la présentation : Tendances et objectifs de la politique
Plus en détailGENERALITES. COURS TCP/IP Niveau 1
GENERALITES TCP/IP est un protocole inventé par les créateurs d Unix. (Transfer Control Protocol / Internet Protocole). TCP/IP est basé sur le repérage de chaque ordinateur par une adresse appelée adresse
Plus en détailFonctionnement de Iptables. Exercices sécurité. Exercice 1
Exercice 1 Exercices sécurité 1. Parmi les affirmations suivantes, lesquelles correspondent à des (bonnes) stratégies de défenses? a) Il vaut mieux interdire tout ce qui n'est pas explicitement permis.
Plus en détailPlan. Programmation Internet Cours 3. Organismes de standardisation
Plan Programmation Internet Cours 3 Kim Nguy ên http://www.lri.fr/~kn 1. Système d exploitation 2. Réseau et Internet 2.1 Principes des réseaux 2.2 TCP/IP 2.3 Adresses, routage, DNS 30 septembre 2013 1
Plus en détailInternets. Informatique de l Internet: le(s) Internet(s) Composantes de l internet R3LR RENATER
Internets Informatique de l Internet: le(s) Internet(s) Joël Quinqueton Dépt MIAp, UFR IV UPV Université Montpellier III RENATER, R3LR Services Internet Protocoles Web Sécurité Composantes de l internet
Plus en détailIntroduction aux Technologies de l Internet
Introduction aux Technologies de l Internet Antoine Vernois Université Blaise Pascal Cours 2006/2007 Introduction aux Technologies de l Internet 1 Au programme... Généralités & Histoire Derrière Internet
Plus en détailProxy et reverse proxy. Serveurs mandataires et relais inverses
Serveurs mandataires et relais inverses Qu'est-ce qu'un proxy? Proxy = mandataire (traduction) Un proxy est un service mandataire pour une application donnée. C'est à dire qu'il sert d'intermédiaire dans
Plus en détailSécurité et Firewall
TP de Réseaux IP pour DESS Sécurité et Firewall Auteurs: Congduc Pham (Université Lyon 1), Mathieu Goutelle (ENS Lyon), Faycal Bouhafs (INRIA) 1 Introduction: les architectures de sécurité, firewall Cette
Plus en détailRéseaux Locaux. Objectif du module. Plan du Cours #3. Réseaux Informatiques. Acquérir un... Réseaux Informatiques. Savoir.
Mise à jour: Mars 2012 Objectif du module Réseaux Informatiques [Archi/Lycée] http://fr.wikipedia.org/ Nicolas Bredèche Maître de Conférences Université Paris-Sud bredeche@lri.fr Acquérir un... Ressources
Plus en détailEnvironnements informatiques
Environnements informatiques Premiers pas sous Linux (seconde partie) 26 septembre 2008 blansche@dpt-info.u-strasbg.fr 1 /12 Administration sous Linux 2 /12 Démarrage Démarrage de Linux Niveaux de démarrage
Plus en détailCapture, Filtrage et Analyse de trames ETHERNET avec le logiciel Wireshark. Etape 1 : Lancement des machines virtuelles VMWARE et de Wireshark
Capture, Filtrage et Analyse de trames ETHERNET avec le logiciel Wireshark Wireshark est un programme informatique libre de droit, qui permet de capturer et d analyser les trames d information qui transitent
Plus en détailIntérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT
Administration Réseau Niveau routage Intérêt du NAT (Network Address Translation) Possibilité d utilisation d adresses privées dans l 4 2 1 Transport Réseau Liaison Physique Protocole de Transport Frontière
Plus en détailTP 6 : Wifi Sécurité
TP 6 : Wifi Sécurité Ce TP fait appel à plusieurs outils logiciels et documents, la plupart d'entre eux sont déjà installés avec l'icône sur le bureau. Dans le cas contraire, vérifiez que le programme
Plus en détailSécurité des réseaux Les attaques
Sécurité des réseaux Les attaques A. Guermouche A. Guermouche Cours 2 : Les attaques 1 Plan 1. Les attaques? 2. Quelques cas concrets DNS : Failles & dangers 3. honeypot A. Guermouche Cours 2 : Les attaques
Plus en détailManuel des logiciels de transferts de fichiers File Delivery Services
Manuel des logiciels de transferts de fichiers File Delivery Services Editeur La Poste CH SA Technologies de l information Webergutstrasse 12 CH-3030 Berne (Zollikofen) Contact La Poste CH SA Technologies
Plus en détailSécurité des réseaux Firewalls
Sécurité des réseaux Firewalls A. Guermouche A. Guermouche Cours 1 : Firewalls 1 Plan 1. Firewall? 2. DMZ 3. Proxy 4. Logiciels de filtrage de paquets 5. Ipfwadm 6. Ipchains 7. Iptables 8. Iptables et
Plus en détailDr.Web Les Fonctionnalités
Dr.Web Les Fonctionnalités Sommaire Poste de Travail... 2 Windows... 2 Antivirus pour Windows... 2 Security Space... 2 Linux... 3 Mac OS X... 3 Entreprise... 3 Entreprise Suite - Complète... 3 Entreprise
Plus en détailPrésentation Internet
Présentation Internet 09/01/2003 1 Sommaire sières 1. Qu est-ce que l Internet?... 3 2. Accéder à l Internet... 3 2.1. La station... 3 2.2. La connection... 3 2.3. Identification de la station sur Internet...
Plus en détailInstallation Windows 2000 Server
Installation Windows 2000 Server 1. Objectif Ce document donne une démarche pour l installation d un serveur Windows 2000, d un serveur DNS et d un contrôleur de domaine (DC), en regard de certains éléments
Plus en détailPréparation LPI. Exam 102. 110. Securité. Document sous licence Creative commons «by nc sa» http://creativecommons.org/licenses/by nc sa/2.
Préparation LPI Exam 102 110. Securité Document sous licence Creative commons «by nc sa» http://creativecommons.org/licenses/by nc sa/2.0/fr/ inetd et xinetd Configuration SSH GPG Sommaire UPMC - FP Préparation
Plus en détailLes risques HERVE SCHAUER HSC
HERVE SCHAUER HSC Les risques Les risques ne cessent d'augmenter: Informatisation systématique de l'ensemble de la société Ouverture des systèmes d'information sur Internet Démultiplication de ce qui est
Plus en détailPlan. Le système de transfert de fichiers d'internet. Introduction aux systèmes de transfert de fichiers Le protocole FTP.
Le système de transfert de fichiers d'internet Bernard Cousin Université de Rennes I laboratoire IRISA http://www.univ-rennes1.fr/ Plan Introduction aux systèmes de transfert de fichiers Le protocole FTP
Plus en détailFiltrage IP MacOS X, Windows NT/2000/XP et Unix
Filtrage IP MacOS X, Windows NT/2000/XP et Unix Cette présentation, élaborée dans le cadre de la formation SIARS, ne peut être utilisée ou modifiée qu avec le consentement de ses auteur(s). MacOS/NT/Unix
Plus en détailRÉCAPITULATIF DES ENJEUX ET DE LA MISE EN PLACE POLITIQUE DE SÉCURITÉ DANS UN RÉSEAU
181 RÉCAPITULATIF DES ENJEUX ET DE LA MISE EN PLACE D UNE POLITIQUE DE SÉCURITÉ DANS UN RÉSEAU INFORMATIQUE Aucun réseau informatique n est à l abri d une attaque (volontaire ou non) à sa sécurité (Orange
Plus en détailTCP/IP, NAT/PAT et Firewall
Année 2011-2012 Réseaux 2 TCP/IP, NAT/PAT et Firewall Nicolas Baudru & Nicolas Durand 2e année IRM ESIL Attention! Vous devez rendre pour chaque exercice un fichier.xml correspondant à votre simulation.
Plus en détailSécurité des Réseaux et d internet. Yves Laloum
Sécurité des Réseaux et d internet Yves Laloum CNAM Page 1 1. Menaces et vulnérabilités sur l Internet! Connaître et comprendre les vulnérabilités et les menaces "niveau réseau : sniffers / scanners /
Plus en détailSécurité réseau en pratique. Ainsi font font. Attention. Plan. Comment font les pirates Scanner Exploiter Ecouter Comment sécuriser
Sécurité réseau en pratique Ainsi font font. 1 3 Plan Attention Comment font les pirates Scanner Exploiter Ecouter Comment sécuriser Utilisation des outils décrits plus loin est ILLEGALE! Interdiction
Plus en détailLe protocole SSH (Secure Shell)
Solution transparente pour la constitution de réseaux privés virtuels (RPV) INEO.VPN Le protocole SSH (Secure Shell) Tous droits réservés à INEOVATION. INEOVATION est une marque protégée PLAN Introduction
Plus en détailContrôle d accès Centralisé Multi-sites
Informations techniques Contrôle d accès Centralisé Multi-sites Investissement et exploitation optimisés La solution de contrôle d accès centralisée de Netinary s adresse à toute structure souhaitant proposer
Plus en détailProtection des protocoles www.ofppt.info
ROYAUME DU MAROC Office de la Formation Professionnelle et de la Promotion du Travail Protection des protocoles DIRECTION RECHERCHE ET INGENIERIE DE FORMATION SECTEUR NTIC Sommaire 1. Introduction... 2
Plus en détailManuel d installation UCOPIA Advance
Manuel d installation UCOPIA Advance La mobilité à la hauteur des exigences professionnelles Version 4.3 Table des matières 1. Introduction... 8 2. Installation... 9 3. Connexion à l outil d administration
Plus en détailSpécialiste Systèmes et Réseaux
page 1/5 Titre professionnel : «Technicien(ne) Supérieur(e) en Réseaux Informatiques et Télécommunications» inscrit au RNCP de niveau III (Bac + 2) (J.O. du 19/02/2013) 24 semaines + 8 semaines de stage
Plus en détailLes ACL Cisco. F. Nolot Master 2 Professionnel STIC-Informatique 1
Les ACL Cisco Master 2 Professionnel STIC-Informatique 1 Les ACL Cisco Présentation Master 2 Professionnel STIC-Informatique 2 Les ACL Cisco? Les ACL (Access Control Lists) permettent de filtrer des packets
Plus en détailExpérience d un hébergeur public dans la sécurisation des sites Web, CCK. Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet
Expérience d un hébergeur public dans la sécurisation des sites Web, CCK Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet Plan Introduction Sécurisation des sites Web hébergés a Conclusion Introduction
Plus en détailDessin assisté par ordinateur en lycée professionnel
Dessin assisté par ordinateur en lycée professionnel Bernard Dauga To cite this version: Bernard Dauga. Dessin assisté par ordinateur en lycée professionnel. Bulletin de l EPI (Enseignement Public et Informatique),
Plus en détailIndicateur et tableau de bord
Agenda Indicateur et tableau de bord «La sécurité n est pas une destination mais un voyage» 1. Jean-François DECHANT & Philippe CONCHONNET jfdechant@exaprobe.com & pconchonnet@exaprobe.com +33 (0) 4 72
Plus en détailCertificats (électroniques) : Pourquoi? Comment? CA CNRS-Test et CNRS
Certificats (électroniques) : Pourquoi? Comment? CA CNRS-Test et CNRS Nicole Dausque CNRS/UREC CNRS/UREC IN2P3 Cargèse 23-27/07/2001 http://www.urec.cnrs.fr/securite/articles/certificats.kezako.pdf http://www.urec.cnrs.fr/securite/articles/pc.cnrs.pdf
Plus en détailRappel: Le routage dans Internet. Contraintes. Environnement et contraintes. La décision dans IP du routage: - Table de routage:
Administration d un Intranet Rappel: Le routage dans Internet La décision dans IP du routage: - Table de routage: Adresse destination (partie réseau), netmask, adresse routeur voisin Déterminer un plan
Plus en détailFonctionnement d Internet
Fonctionnement d Internet internet Fonctionnement d Internet Code: internet Originaux url: http://tecfa.unige.ch/guides/tie/html/internet/internet.html url: http://tecfa.unige.ch/guides/tie/pdf/files/internet.pdf
Plus en détailWindows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.
2013 Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D. Table des matières 1 Les architectures sécurisées... 3 2 La PKI : Autorité de certification... 6 3 Installation
Plus en détailServeurs de noms Protocoles HTTP et FTP
Nils Schaefer Théorie des réseaux (EC3a) Serveurs de noms Protocoles HTTP et FTP Théorie des réseaux (EC3a) Séance 7 Pourquoi DNS? Internet est une structure hiérarchique et arborescente de réseaux et
Plus en détail>#? 9@ " $: $A; 4% 6 $7 -/8 $+.,.,$9:$ ;,<=</.2,0+5;,/22.-...0 ! " # $%!& *$$ $%!& *! # +$
#"!$% >#? 9@ " $: $A; 4% 6! " # $%!& $'()) $%!& *$$ $%!& *! # +$!",-./0112-+ 3456 $7 -/8 $+.,.,$9:$ ;,
Plus en détailCours 14. Crypto. 2004, Marc-André Léger
Cours 14 Crypto Cryptographie Définition Science du chiffrement Meilleur moyen de protéger une information = la rendre illisible ou incompréhensible Bases Une clé = chaîne de nombres binaires (0 et 1)
Plus en détailNetCrunch 6. Superviser
AdRem NetCrunch 6 Serveur de supervision réseau Avec NetCrunch, vous serez toujours informé de ce qui se passe avec vos applications, serveurs et équipements réseaux critiques. Documenter Découvrez la
Plus en détailCONFIGURATION DE BASE. 6, Rue de l'industrie BP130 SOULTZ 68503 GUEBWILLER Cedex. Fax.: 03 89 62 13 31 Tel.: 08.92.56.68.69 support@telmatweb.
Educ@Box Configuration de base 6, Rue de l'industrie BP130 SOULTZ 68503 GUEBWILLER Cedex Fax.: 03 89 62 13 31 Tel.: 08.92.56.68.69 support@telmatweb.com Page: 1 Sommaire 1 CONTENU DE VOTRE PACKAGE EDUC@BOX...
Plus en détailConfiguration et listes d accès pour un routeur CISCO. commandes et exemples
Configuration et listes d accès pour un routeur CISCO commandes et exemples V2.15 Modif : 06/03/2001 Rédacteurs : Philippe Leca CNRS/UREC, Philippe Weill CNRS/IPSL, Olivier Porte CNRS/DSI Merci aux relecteurs
Plus en détailChap.9: SNMP: Simple Network Management Protocol
Chap.9: SNMP: Simple Network Management Protocol 1. Présentation 2. L administration de réseau 3. Les fonctionnalités du protocole 4. Les messages SNMP 5. Utilisation de SNMP 1. Présentation En 1988, le
Plus en détailSécurisation du réseau
Sécurisation du réseau La sécurisation du réseau d entreprise est également une étape primordiale à la sécurisation générale de votre infrastructure. Cette partie a pour but de présenter les fonctionnalités
Plus en détailLes systèmes pare-feu (firewall)
Copyright (c) 2003 tv Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.1 or any later version published
Plus en détailDIGITAL NETWORK. Le Idle Host Scan
DIGITAL NETWORK Siège : 13 chemin de Fardeloup 13600 La Ciotat Siret : 43425494200015 APE : 722 Z www.digital network.org www.dnsi.info Laboratoires : 120 Avenue du Marin Blanc, ZI Les Paluds, 13685 Aubagne
Plus en détail2. DIFFÉRENTS TYPES DE RÉSEAUX
TABLE DES MATIÈRES 1. INTRODUCTION 1 2. GÉNÉRALITÉS 5 1. RÔLES DES RÉSEAUX 5 1.1. Objectifs techniques 5 1.2. Objectifs utilisateurs 6 2. DIFFÉRENTS TYPES DE RÉSEAUX 7 2.1. Les réseaux locaux 7 2.2. Les
Plus en détailPrise en main d un poste de travail sous Windows sur le réseau du département MMI de l'upemlv. d après M. Berthet et G.Charpentier
1 Prise en main d un poste de travail sous Windows sur le réseau du département MMI de l'upemlv d après M. Berthet et G.Charpentier Le CRI 2 Centre de Ressources Informatiques. Gère l informatique pour
Plus en détailTunnels. Plan. Pourquoi? Comment? Qu est-ce? Quelles solutions? Tunnels applicatifs ESIL INFO 2005/2006. Sophie Nicoud Sophie.Nicoud@urec.cnrs.
Tunnels ESIL INFO 2005/2006 Sophie Nicoud Sophie.Nicoud@urec.cnrs.fr Plan Pourquoi? Comment? Qu est-ce? Quelles solutions? Tunnels applicatifs 2 Tunnels, pourquoi? Relier deux réseaux locaux à travers
Plus en détailLa sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta
La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL Dr Hervé LECLET Tous les centres d'imagerie médicale doivent assurer la sécurité informatique de leur système d'information
Plus en détailInternet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier
Plan Internet - Outils Nicolas Delestre 1 DHCP 2 Firewall 3 Translation d adresse et de port 4 Les proxys 5 DMZ 6 VLAN À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier 7 Wake On Line
Plus en détailINTRUSION SUR INTERNET
INTRUSION SUR INTERNET Filière Télécommunication Laboratoire de Transmission de Données Diplômant : Marfil Miguel Professeur : Gérald Litzistorf En collaboration : Banque Pictet, Lanrent Dutheil e-xpert
Plus en détailAdministration UNIX. Le réseau
Administration UNIX Le réseau Plan Un peu de TCP/IP Configuration réseau sous linux DHCP Démarrage PXE TCP/IP Unix utilise comme modèle de communication TCP/IP Application Transport TCP - UDP Réseau IP
Plus en détailGroupe Eyrolles, 2006, ISBN : 2-212-11933-X
Groupe Eyrolles, 2006, ISBN : 2-212-11933-X Table des matières Introduction... V CHAPITRE 1 Introduction à SSL VPN... 1 Une histoire d Internet.............................................. 3 Le modèle
Plus en détailPrésentation et portée du cours : CCNA Exploration v4.0
Présentation et portée du cours : CCNA Exploration v4.0 Dernière mise à jour le 3 décembre 2007 Profil des participants Le cours CCNA Exploration s adresse aux participants du programme Cisco Networking
Plus en détailHYBIRD 120 GE POUR LES NULS
HYBIRD 120 GE POUR LES NULS 1. Connexion au réseau du client... 6 1.1 En utilisant le DHCP du client... 6 1.2 En utilisant l hybird 120 GE comme DHCP... 7 1.3 Accès au PABX à distance... 9 2. Téléphones
Plus en détailSOMMAIRE : CONFIGURATION RESEAU SOUS WINDOWS... 2 INSTRUCTIONS DE TEST DE CONNECTIVITE... 5
SOMMAIRE : CONFIGURATION RESEAU SOUS WINDOWS... 2 INTRODUCTION... 2 CONFIGURATION DE L INTERFACE RESEAU... 3 INSTRUCTIONS DE TEST DE LA CONNECTIVITE.... 5 INTRODUCTION... 5 INSTRUCTIONS DE TEST DE CONNECTIVITE...
Plus en détailPrésentation et portée du cours : CCNA Exploration v4.0
Présentation et portée du cours : CCNA Exploration v4.0 Profil des participants Le cours CCNA Exploration s adresse aux participants du programme Cisco Networking Academy diplômés en ingénierie, mathématiques
Plus en détailDans le cadre de SECURIDAY 2010. Et sous le thème de Computer Forensics Investigation SECURINETS. Analyse des fichiers LOG. Tarek LABIDI (RT3)
Dans le cadre de SECURIDAY 2010 Et sous le thème de Computer Forensics Investigation SECURINETS Vous Présente l atelier : Analyse des fichiers LOG Chef Atelier : Tarek LABIDI (RT3) Mongia BEN HAMMOUDA
Plus en détailSécurité des réseaux sans fil
Sécurité des réseaux sans fil Matthieu Herrb CNRS-LAAS matthieu.herrb@laas.fr Septembre 2003 SIARS Toulouse 2003 Plan La technologie sans fils Faiblesses et Attaques Architecture Sécurisation des postes
Plus en détailFigure 1a. Réseau intranet avec pare feu et NAT.
TD : Sécurité réseau avec Pare Feu, NAT et DMZ 1. Principes de fonctionnement de la sécurité réseau Historiquement, ni le réseau Internet, ni aucun des protocoles de la suite TCP/IP n était sécurisé. L
Plus en détailLe réseau Internet. Christian.Fondrat@dsi.univ-paris5.fr
Le réseau Internet Christian.Fondrat@dsi.univ-paris5.fr Un réseau Définition : Un réseau est un ensemble d ordinateurs connectés et qui communiquent entre eux. Classification : Réseau local (LAN = Local
Plus en détailPRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs.
PRODUCTION ASSOCIEE Contexte : Le contexte de la Maison des Ligues de Lorraine (La M2L) a été retenu au sein de notre centre de formation dans le cadre des PPE. La M2L, établissement du Conseil Régional
Plus en détailTravaux pratiques : configuration et vérification des listes de contrôle d'accès IPv6 Topologie
Travaux pratiques : configuration et vérification des listes de contrôle d'accès IPv6 Topologie 2014 Cisco et/ou ses filiales. Tous droits réservés. Ceci est un document public de Cisco. Page 1 / 10 Table
Plus en détail